<!-- 页面有一个输入框，动态更新内容 -->
<input id="input" type="text">
<button onclick="updateContent()">更新</button>
<div id="content"></div>

<script>
  function updateContent() {
    const userInput = document.getElementById('input').value;
    document.getElementById('content').innerHTML = userInput; // 危险操作
  }

  // <img src="x" onerror="alert('XSS')">
</script>